인텔리전스를 활용하여 실제 세계 공격으로부터 보호(노력 없이)
웹 애플리케이션에 대한 공격은 방법과 목표에 있어서 매우 다양합니다. 일부 공격은 기회주의적 스캔 기반 공격부터 표적형 정교한 캠페인, 스크립트 키디, 든든한 지원을 받는 해커 조직에 이르기까지 다양합니다. 이러한 광범위한 공격에는 견고한 보안을 제공하기 위해 여러 계층으로 구성할 수 있는 포괄적인 보안 도구 세트가 필요합니다. 이는 오두막 지붕이 비로부터 보호하는 방식과 크게 다르지 않습니다. 이제 표준 WAF 스테이플 보호, 서명 및 규칙은 "비"의 상당 부분을 막는 데 큰 역할을 합니다. 그러나 그들은 정교하고 심지어 집중적인 공격 캠페인에 대해서는 불리한 입장에 있습니다. F5 Labs의 조사에 따르면, 매일 약 3개의 심각한 취약점이 공개되어 기업이 따라잡는 것이 불가능하다고 합니다.
공격 캠페인은 일반적으로 특정 대상을 대상으로 일정 기간 동안 정의된 목표를 가지고 조정되고 계획된 위협 활동 및 악용을 말합니다. 표적은 명명된 조직뿐만 아니라 웹 인프라 유형일 수도 있습니다.
캠페인을 감지하고 완화하는 것은 어렵습니다. 이에 대한 두 가지 주요 이유는 캠페인이 일반적인 WAF 규칙과 시그니처를 회피하도록 교묘하게 설계되었거나, 이를 탐지하려면 포괄적이고 거친 보안 정책을 구성해야 하는데, 이는 거짓 긍정을 생성하여 보안 팀을 압도하고 건초더미 속의 공격을 알아차리지 못할 위험이 있기 때문입니다.
아마 여러분 중 많은 분들에게는 이 소식이 새롭지 않을 수도 있고, 그래서 이 글을 읽고 해결책을 찾고 계신지도 모르겠습니다. F5의 위협 캠페인은 그러한 솔루션 중 하나이며 여기서 그 작동 방식을 설명하겠습니다.
F5 위협 캠페인은 사실상 긍정 오류가 0에 가까울 정도로 현재 진행 중인 공격 캠페인을 정확하게 탐지하고 차단하는 인텔리전스 서비스입니다. 이 솔루션은 실제 진행 중인 공격을 찾아내고, 분석하고, 분석하는 데 전념하는 보안 전문가 팀을 활용하며, 특히 위협 행위자의 지속적인 공격과 표적이 되는 전 세계 허니팟 네트워크가 포함된 툴 무기고를 활용합니다.
F5 위협 캠페인은 기업에 도달하기 전에 현재 진행 중인 공격 캠페인에 대해 빠르고 사전 예방적 보호 기능을 제공합니다. F5 위협 캠페인은 사용하기 쉽고 추가 구성 없이 켜기만 하면 됩니다. 정보기관은 위협 캠페인의 성격과 목적에 대해 풍부한 맥락을 제공했습니다. F5에서 출시한 최신 캠페인으로 자동 업데이트됩니다.
F5 Threat Campaign은 F5 BIG-IP Advanced WAF 에 대한 구독형 추가 기능이며 F5 Distributed Cloud WAF 및 F5 NGINX App Protect WAF에 포함되어 있습니다.
F5 위협 캠페인의 각 조항은 사이버 적대자가 실제로 수행하는 것으로 감지된 공격 캠페인을 위해 명시적으로 만들어졌습니다. 이는 일반적인 방법으로 여러 취약점과 악용 사례를 탐지하려는 광범위한 서명 방식과는 다릅니다.
특정 캠페인에 초점을 맞춤으로써 실제로 진행 중인 공격에 대한 보호 기능을 제공하는 동시에 거짓 긍정 탐지 가능성을 제거합니다. 또한, 거짓 양성과 관련된 위험이 낮고 캠페인의 정확성 덕분에 F5의 새로운 캠페인 항목에 대한 릴리스 주기가 빠르며, 실제 상황에서 감지된 후부터 고객이 공격으로부터 보호받을 때까지 걸리는 시간이 짧습니다.
F5 위협 캠페인은 공격 캠페인의 특성, 시도 내용, 애플리케이션에 미치는 위험, 공격자의 의도에 대한 추가적인 통찰력을 제공합니다. 이를 통해 보안 담당자는 누가, 어떻게, 어떤 공격을 할지 더 잘 이해하고 위험을 평가할 수 있습니다.
F5 위협 캠페인은 단일 또는 무작위 공격을 탐지하기 위한 것이 아니라는 점을 이해하는 것이 중요합니다. 대신, 일반적으로 대량으로 감지되는 실제 공격에 초점을 맞추는데, 이는 사용자에게 더 광범위한 위험을 초래합니다. 단일 또는 무작위 공격의 예로는 단일 공격자가 한 사이트에 주입을 실행하거나 펜 테스터가 이론적으로는 악용될 수 있지만 실제 공격에는 사용된 적이 없는 CVE를 시도하는 경우가 있습니다.
그렇기 때문에 F5 Threat Campaign과 같은 지능형 서비스는 시그니처와 같은 다른 WAF 보호 기능을 보완하는 것이지 대체 기능이 아닙니다. 이는 거짓 양성 반응 없이 실제 공격에 대해 구체적인 보호 기능을 제공하는 추가 계층이며, 아무런 튜닝도 필요하지 않습니다. F5는 위협 캠페인과 같은 보안 솔루션을 계층화하여 공격자가 뚫을 수 있는 틈새를 메우는 견고한 보안을 애플리케이션에 제공할 수 있습니다.
올해 초, F5 위협 캠페인 세계 지도가 출시되어 기업이 사이버 공격 캠페인에 대한 가시성을 높이고 통찰력과 원격 측정 정보를 함께 제공하는 데 도움이 되었습니다. 블로그 게시물에서 Navpreet Gill은 "F5 위협 캠페인 세계 지도는 통찰력과 원격 측정을 함께 제공하여 사이버 공격 캠페인에 대한 가시성을 높이는 데 도움이 됩니다."라고 설명합니다.
F5 위협 캠페인 구독을 BIG-IP Advanced WAF에 추가하는 방법이나 오늘 F5 분산 클라우드 WAF 또는 NGINX App Protect WAF 솔루션에서 F5 위협 캠페인을 사용하는 방법에 대한 자세한 내용은 채널 파트너나 F5 계정 관리자에게 문의 하세요.